A consulta de dados fiscais de contribuintes é feita não só no interior do fisco como também no exterior. Segundo o relatório da Inspeção-geral das Finanças, há 893 utilizadores externos à Autoridade Tributária que podem aceder à situação fiscal de cada português e apenas 13% desses utilizadores (114) são adequadamente controlados e responsabilizados “pelo acesso aos seus sistemas”, ou seja, o fisco só sabe a identidade de 114 destes utilizadores. Os restantes, segundo auditoria da Inspeção-Geral de Finanças, são perfis de utilizadores que não estão associados a nenhuma pessoa em concreto. Agora, o Governo quer rever os contratos com estas empresas e pediu um plano de ação em três semanas ao fisco para garantir a privacidade fiscal. Como medida imediata e cautelar, o secretário de estado dos Assuntos Fiscais, Paulo Núncio, quer que sejam revistas as pessoas externas com acesso aos dados.

Há pelo menos uma consequência da polémica da lista VIP: o Governo, depois da polémica em torno da violação da privacidade fiscal, decidiu reforçar os mecanismos de segurança da Autoridade Tributária. E para isso, Núncio assinou um despacho com data desta terça-feira – o mesmo dia da distribuição pública do relatório da IGF – em que exige ao diretor geral da Autoridade Tributária que apresente um “plano de ação contendo medidas concretas e devidamente calendarizadas para cumprir as recomendações propostas pela IGF e pela CNPD, o qual deverá ser apresentado à tutela até 19 de junho”.

No despacho, a que o Observador teve acesso, Paulo Núncio enlenca algumas “prioridade” que devem constar do plano, entre elas uma  revisão “do quadro de contratação com entidades externas em matéria de procedimentos de acesso às bases de dados da AT, reforçando as regras e mecanismos de utilização das credenciais de acesso à informação fiscal por parte de utilizadores externos”. Isto porque além dos funcionários do fisco, há várias empresas contratadas que têm acesso aos dados fiscais. De acordo com o relatório da IGF, a “AT apenas dispõe de informação relevante e que permite o adequado controlo e responsabilização pelo acesso aos seus sistemas relativamente a 114 dos 893 utilizadores externos (13%)”. Desses 893, há 29 “classificados com o código ’77 – outra'” e essa “situação não identifica a entidade a que pertencem esses utilizadores, constituindo mais uma vulnerabilidade do sistema sem justificação aparente”, lê-se no relatório.

Ainda no mesmo relatório, a IGF conclui que “para além da necessidade de controlo dos acessos e da proteção dos dados dos contribuintes, o próprio processo de autorização e de criação desses acessos em relação a diferentes utilizadores, internos e externos, carece de aperfeiçoamentos relevantes e de maior rigor, devendo ser objeto de regras escritas, registos atualizados e fiáveis, controlo regular e definição clara de responsabilidades, que permitam avaliar e mitigar o risco de acessos indevidos à informação fiscal”.

Esta medida visa dar resposta a uma recomendação do próprio relatório da IGF, que sugeria ao Governo que reformulasse “o plano de gestão de riscos” e adotasse “medidas de prevenção específicas ao nível da avaliação e mitigação do risco de acessos indevidos (internos e externos) à informação fiscal, bem como defina detalhadamente as medidas de reação imediata quando esses acessos ocorram”.

Apesar de este plano ter data marcada para daqui a três semanas – e implementação mais tarde – o secretário de Estado dá ordem ao diretor geral do fisco para que leve a cabo de imediato “medidas consideradas urgentes e cautelares necessárias para assegurar uma efetiva proteção dos dados pessoais e tributários de todos os contribuintes”, entre elas uma redefinição do “universo de utilizadores externos à AT com acesso a informação fiscal relevante”.

No despacho assinado por Paulo Núncio, este dava seguimento a outras recomendações saídas do relatório da IGF nomeadamente que a AT proceda a uma “revisão e reformulação profunda do Plano de Segurança Informática” de modo a garantir a privacidade fiscal como acontece com o sistema e-fatura.